ICS 35.020 团 体 标 准 T/TSIA 00 4-2019 互联网软件运营安全管理规范 Internet Software Operation Security Management Specification 2019 - 4 - 8发布 2019 - 4 - 8实施 天津市软件行业协会 发布 全国团体标准信息平台 T/TSIA 00 4-2019 II 目 录 目 录 ................................ ................................ ..... II 前 言 ................................ ................................ .... III 引 言 ................................ ................................ ..... IV 1 范围 ................................ ................................ .... 5 2 规范性引用文件 ................................ .......................... 5 3 术语和定义 ................................ .............................. 5 3.1 评价认定机构 ................................ ............................ 5 3.2 网络安全第三方服务机构 ................................ .................. 6 3.3 威胁感知能力 ................................ ............................ 6 3.4 联网软件 ................................ ................................ 6 3.5 个人信息 ................................ ................................ 6 4 基本要求 ................................ ................................ 6 4.1 安全人员要求 ................................ ............................ 7 4.2 管理制度要求 ................................ ............................ 7 4.3 网络运行安全要求 ................................ ........................ 9 4.4 个人信息安全要求 ................................ ....................... 10 5 安全评估 ................................ ............................... 12 5.1 基本要求 ................................ ............................... 12 5.2 自评估 ................................ ................................ . 12 5.3 第三方安全评估 ................................ ......................... 12 6 整改和评价 ................................ ............................. 13 7 参考文献 ................................ ............................... 13 全国团体标准信息平台 T/TSIA 00 4-2019 III 前 言 本规范按照GB/T 1.1 -2009《标准化工作导则 第1部分：标准的结构和编写》给出的 规则起草。 本规范起草单位： 天津市网络文化行业协会 、天津市软件行业协会 、天津市互联网协 会、天津市青少年网络协会 、天津市网络社会组织 联合会、 南开大学 、天津市市场信息中 心、江西省计算技术研究所 、中科锐眼（天津）科技有限公司 、中国检验认证集团天津有 限公司、天津烽火信息管理技术有限公司 、恒银金融科技股份有限公司 、天津卓易云科技 有限公司 、中国铁路北京局 集团有限公司、北京可信华泰信息技术有限公司 、博雅创智 （天 津）科技有限公司 、北京天腾信科技有限公司 、恒安嘉新（北京）科 技股份公司 、深圳市 能信安科技股份有限公司 、四川远鉴科技有限公司 、天津同力兴科网络科技有限公司 、北 京飞利信科技股份有限公司 、江西畅然科技发展有限公司 、北京金睛云华科技有限公司 、 北京亿赛通科技发展有限责任公司 、北京智能计算产业研究院华一智研联合实验室 、江苏 百傲网络科技有限公司 、北京易信云科技有限公司 。 本规范主要起草人： 王小龙、王森、孙凯桐、 周效铭、赵洪宇、 刘玺、解万永、 吕顺 刚、刘永杰、谷思 源、李兴 、苑久川、李宇、刘贵臣、杨雪飞、陆浩、 郭昕、付康、宋午 阳、张荣林、 吴伯喜、张云峰、崔小玉、宋瑞霞、王巍、孙瑜、刘鑫、王梅、张 峰晓、闫 崑、王志、马小龙、南云僧、袁青霞、于洪、曾 建锋、胡文友、张磊、张利华、刘会操、 刘英杰。 全国团体标准信息平台 T/TSIA 00 4-2019 IV 引 言 为指导和规范互联网相关单位建立健全互联网软件 （以下简称“ 联网软件 ”）运营安 全管理，维护公共利益，加强行业自律，保护公民 和其他组织的 信息安全及 合法权益，根 据 《中华人民共和国网络安全法》 和国家有关的法律法规及相关标准制度制订本 管理规范。 全国团体标准信息平台 T/TSIA 00 4-2019 5 互联网软件 运营安全管理规范 1 范围 本管理规范提出的安全管理和技术措施的相关要点和方法，可用于网络安全相关监管 部门以及 网络安全第三方服务机构 开展网络安全监督管理与评估等工作 ，可作为“联网软 件”的网络运 营者开展安全自查 的参考依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是 标注日期的引用文件，仅 标注日期的 版本适用于本文件。凡是不 标注日期的引用文件，其最新版本（包括所有的修改单）适用 于本文件。 GB/T 5271.8 信息技术 词汇 第8部分:安全 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 25068.3 信息技术 安全技术 IT网络安全 GB/T 25069 信息安全技术 术语 GB/T 31495 .2 信息安全技术 信息安全保障指标体 系及评价方法 GB/T 31509 信息安全技 术 信息安全 风险评估 实施指南 GB/T 35273 个人信息安全规范 ISO/IEC 27005 信息技术 安全技术 信息安全风险管理 3 术语和定义 ISO/IEC 27005 、GB/T 5271.8 、GB/T 25069 和GB/T 25068.3 、GB/T 31495.2 界定的 术语和定义适用于本文 件。为了便于使用 ，以下更加明确了相关术语和定义。 3.1 评价认定 机构 网络安全评价认定机构，是指对 网络安全第三方服务机构 的服务能力和工程实施结果 进行评价认定，对上线运行的业务和应用系统 进行安全评价认定的机构。评价认定机构可 全国团体标准信息平台 6 网络安全第三方服务机构 ，是指负责对上线运行的业务和应用系统 进行网络安全评 估，以及从事相关的网络安全服务工作 （如：网络安全检测监测工作、 网络安全应急响应 工作、网络 安全运维工作 、网络安全工程实施工作 等）的机构。 3.3 威胁感知能 T/TSIA 00 4-2019 以选择国家或地方认可的相关行业管理认定机构，如中国检验认证集团、中国信息安全测 评中心以及中国网络安全审查技术与认证中心等。 3.2网络安全第三方服务机构 力 威胁感知能力，是 指在一定程度上可以洞悉基于网络整体环境的安全风险能力，能够 做到对网络威胁进行检测 分析、发现识别，当 发生网络安全 事件时能够及时 预警并提供响 应处置的能力。 3.4 联网软件 “联网软件” 是“互联网软件” 的简称， 是指依托于互联网提供相关服务的 网站、系 统、平台、应用 （包括功能 及应用形式 ）及相关支撑软件或技术 ，涉及到电信基础设